Вузол деінкапсулювання повинен перевіряти допустимість тунельної адреси відправника перед тим, як передавати деінкапсульований пакет далі. Це необхідно для недопущення обходу вхідної фільтрації [17]. Звичайно, пакети які призначені для транспортного рівня вузла деінкапсулювання не повинні проходити подібну перевірку. Для двонаправлених конфігурованих тунелів така перевірка проводиться як перевірка того, що IPv4 адреса відправника є кінцевою точкою тунелю. Для однонаправлених конфігурованих тунелів вузол деінкапсулювання повинен мати список адресних префіксів IPv4, які є допустими кінцевими точками тунелю. Подібний список не повинен мати жодного запису в тому випадку, коли вузол сконфігуровано для просування пакетів далі, які отримані через однонаправлений конфігурований тунель.
[17]. Ferguson, P. and D. Senie, “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”, RFC 2827, May 2000.
Далі – “Автоматичне тунелювання“
Опубліковано на сайті: “IPv6 українською“
[...] в DNS та налаштувати вхідну фільтрацію (аналогічно до “Вхідна фільтрація“). Маршрутизатор також повинен генерувати відповідні [...]